一種基于周期性和移動窗口基線算法的異常流量檢測方法，每隔五分鐘采集一次UDP原始數據，根據UDP原始數據的通訊端口、時間和字節數三個維度賦予特征值；根據UDP原始數據的特征值建立相似度比對模型；將UDP原始數據輸入相似度比對模型中，篩選去除偏離值較大的UDP原始數據；將處理后的UDP數據根據時間排列；劃分多個時間段，計算每個時間段內變量的平均值；將平均值連成線獲得AWR參考基線；根據時間段的不同生成多個AWR參考基線；并設置AWR參考基線的保存時間；設定指定的周期將實際值與參考基線進行比對，判斷是否產生異常流量；根據移動窗口基線與實際值進行比對，判斷是否產生異常流量；生成比對結果，并對異常流量進行異常警告。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于周期性和移動窗口基線算法的異常流量檢測方法。

背景技術

網絡流量是反映網絡承載的基本形態，隨著網絡的普及和網絡使用量的與日俱增，網絡流量也呈現指數式的上升。網絡流量的大小在一定程度上反映了網絡的安全性，許多網絡攻擊都會使得網絡流量產生異常，例如分布式拒絕服務(DistributedDenialofService，DDoS)攻擊就是利用大量的正常訪問請求來攻擊服務器，以占用服務器大量的服務資源，從而使得合法用戶無法得到服務器的響應，甚至導致服務器的癱瘓。因此，對網絡流量進行檢測以發現異常流量情況并采取相應措施是保護網絡安全的重要措施。

為解決上述問題，本申請中提出一種基于周期性和移動窗口基線算法的異常流量檢測方法。

發明內容

(一)發明目的

為解決背景技術中存在的技術問題，本發明提出一種基于周期性和移動窗口基線算法的異常流量檢測方法，本發明先對采集到的原始數據進行處理，去除無效數據；根據有效數據建立多個不同時間段內的AWR參考基線；設置周期性和移動窗口的方式對實際值與AWR參考基線進行比對，從而得到判斷是否出現異常流量，根據生成比對結構與AWR參考基線的偏差值響應不同等級的異常警告。異常警告隨著時間累積，警告等級逐漸上升。

(二)技術方案

為解決上述問題，本發明提供了一種基于周期性和移動窗口基線算法的異常流量檢測方法，包括以下具體步驟：

S1、每隔五分鐘采集一次UDP原始數據，根據UDP原始數據的通訊端口、時間和字節數三個維度賦予特征值；

S2、根據UDP原始數據的特征值建立相似度比對模型；

S3、將UDP原始數據輸入相似度比對模型中，篩選去除偏離值較大的UDP原始數據；

S4、將處理后的UDP數據根據時間排列；劃分多個時間段，計算每個時間段內變量的平均值；將平均值連成線獲得AWR參考基線；

S5、根據時間段的不同生成多個AWR參考基線；并設置AWR參考基線的保存時間；

S6、設定指定的周期將實際值與參考基線進行比對，判斷是否產生異常流量；

S7、設定移動窗口大小的范圍，根據移動窗口基線與實際值進行比對，判斷是否產生異常流量；

S8、生成比對結果，并對異常流量進行異常警告。

優選的，S2中根據UDP原始數據的維度分別建立基于通訊端口、時間的數據相似度比對模型。

優選的，S3中將UDP原始數據根據維度的不同，分別代入數據相似度比對模型中，計算相似度。

優選的，S3中根據計算后獲得的相似度數值，去除離散程度較大的數據。

優選的，S5中根據時間段分為工作日AWR參考基線、周末AWR參考基線。